Delen via

Geautomatiseerd herstel in Geautomatiseerd onderzoek en respons (AIR)

Herstelacties die zijn geïdentificeerd door geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2, vereisen standaard goedkeuring door SecOps-teams (Security Operations). Zie Geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 voor meer informatie over AIR.

Beheerders kunnen nu ook bepaalde acties toewijzen om automatisch te herstellen. Het automatisch herstellen van berichten die in AIR-onderzoeken als schadelijk zijn geïdentificeerd, heeft de volgende voordelen:

  • Verbetert de klantbescherming door het sneller herstellen van meer bedreigingen.
  • Bespaart tijd voor SecOps-teams door de noodzaak voor goedkeuring te verminderen.

In de rest van dit artikel wordt beschreven hoe u geautomatiseerd herstel configureert in AIR en hoe u berichten kunt identificeren die automatisch zijn hersteld.

Geautomatiseerd herstel configureren

AIR maakt een cluster rond een gedetecteerd schadelijk bestand of een gedetecteerde schadelijke URL en vervolgens controleert het geautomatiseerde onderzoek de locatie van berichten in het cluster. Als de berichten zich in postvakken bevinden, produceert AIR een herstelactie.

Nadat u de clustertypen hebt geselecteerd die automatisch moeten worden hersteld, wordt de geselecteerde herstelactie uitgevoerd zonder dat SecOps-goedkeuring nodig is.

Tip

Clusters die worden geproduceerd door AIR die niet automatisch worden hersteld, worden nog steeds weergegeven als Actie In behandeling , zoals ze nu doen.

Clusters groter dan 10.000 berichten worden niet automatisch hersteld en weergegeven als Actie in behandeling voor revisie.

Gebruik de volgende stappen om de clustertypen te selecteren die automatisch moeten worden hersteld:

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Instellingen>Email & samenwerking>MDO automatiseringsinstellingen.

De volgende instellingen zijn beschikbaar op de pagina Automation-instellingen :

  • Sectie Berichtclusters : hiermee geeft u de typen berichtclusters op die automatisch worden hersteld. Kies een of meer van de volgende opties:

  • Vergelijkbare bestanden: Wanneer het geautomatiseerde onderzoek een schadelijk bestand herkent, wordt er een cluster rond het schadelijke bestand gemaakt. Het cluster groepeer alle berichten die het bestand bevatten in het cluster. Als u deze instelling selecteert, kiest de organisatie in voor geautomatiseerd herstel voor deze schadelijke bestandsclusters.

  • Vergelijkbare URL's: Wanneer het geautomatiseerde onderzoek een schadelijke URL herkent, wordt er een cluster rond de schadelijke URL gemaakt. Het cluster groepeer alle berichten die de URL bevatten in het cluster. Als u deze instelling selecteert, kiest u de organisatie in voor geautomatiseerd herstel voor deze schadelijke URL-clusters.

    Tip

    Volg de roadmap om op de hoogte te blijven van wanneer er meer berichtclusters beschikbaar zijn voor geautomatiseerd herstel.

  • Sectie Herstelactie : hiermee geeft u de actie op die moet worden uitgevoerd op berichtclustertypen die zijn opgegeven in de sectie Berichtclusters .

    Voorlopig verwijderen is momenteel de enige beschikbare actie. Zie Map Herstelbare items in Exchange Online voor meer informatie over voorlopig verwijderde berichten.

    Belangrijk

    De mogelijkheid om voorlopig verwijderde berichten te herstellen, is afhankelijk van het bewaarbeleid voor voorlopig verwijderde berichten in elk postvak. Controleer uw wettelijke verplichtingen voor het bewaren van e-mail, inclusief berichten die zijn gemarkeerd als schadelijk. Zie Wijzigen hoe lang permanent verwijderde items worden bewaard voor een Exchange Online postvak in Exchange Online voor meer informatie over het bewaren van voorlopig verwijderde berichten.

Wanneer u klaar bent op de pagina Automation-instellingen , selecteert u Opslaan.

Schermopname van het automatisch herstellen van de configuratie van clusters voor schadelijke entiteiten in de Defender-portal op Instellingen \> Email & samenwerking \> MDO automatiseringsinstellingen.

Automatisch herstelde berichten controleren

In de volgende subsectie ziet u hoe u de Defender-portal gebruikt om geautomatiseerde herstelacties te controleren.

Automatische herstelresultaten in het actiecentrum

In het Actiecentrum op https://security.microsoft.com/action-center/worden automatisch herstelde clusters weergegeven op het tabblad Geschiedenis . Gebruik het filter Besloten op met de waarde Automation om clusters te retourneren die automatisch zijn hersteld.

Zie Het actiecentrum voor meer informatie over het actiecentrum.

Schermopname van het tabblad Geschiedenis in het Actiecentrum met automatisch herstelde clusters gefilterd op de waarde Besloten op Automatisering en de actiebronwaarde Geautomatiseerde e-mail.

Geautomatiseerd herstel resulteert in onderzoeken

In een onderzoek in AIR worden automatisch herstelde clusters weergegeven op het tabblad Actiegeschiedenis in behandeling van het onderzoek met de waarde Automatiseringverwerkt.

Zie Details en resultaten van geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 voor meer informatie over air-onderzoeksresultaten.

Schermopname van het tabblad Geschiedenis van acties in behandeling van een onderzoek met automatisch herstelde clusters met de waarde Verwerkt door Automatisering.

Geautomatiseerd herstel resulteert in Bedreigingsverkenner

In Threat Explorer (Explorer) hebben automatisch herstelde berichten de waarde Extra actieGeautomatiseerd herstel:automated.

Zie Over Bedreigingsverkenner en realtime detecties in Microsoft Defender voor Office 365 voor meer informatie over Threat Explorer.

Schermopname van Bedreigingsverkenner met berichten die automatisch herstel uit het postvak hebben verwijderd door geautomatiseerd herstel (gefilterd op de waarde voor aanvullende actie Geautomatiseerd herstel).

Geautomatiseerd herstel resulteert in Geavanceerde opsporing

In Geavanceerde opsporing bevinden automatisch herstelde berichten zich in de EmailPostDeliveryEvents tabel met beide van de volgende eigenschapswaarden:

  • ActionType is gelijk aan geautomatiseerd herstel
  • ActionTrigger is gelijk aan Automation.

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender voor meer informatie over geavanceerde opsporing.

Schermopname van Geavanceerde opsporing van berichten die zijn verwijderd uit postvakken door geautomatiseerde herstelbewerking (tabel EmailPostDeliveryEvents, waarbij de waarde van ActionType Geautomatiseerd herstel is en de waarde Van ActionTrigger Automation is.)

Automatische herstelacties voor berichten herstellen

Opmerking

De mogelijkheid om berichten te herstellen, is afhankelijk van de gegevens die nog steeds beschikbaar zijn in Defender en de instellingen voor postvakretentie voor voorlopig verwijderde berichten. Zie de volgende artikelen voor meer informatie:

De volgende methoden zijn beschikbaar om geautomatiseerde herstelacties te herstellen en berichten te herstellen naar postvakken:

  • Actie ondernemen op het bericht in Bedreigingsverkenner of Geavanceerde opsporing. Zie De wizard Actie ondernemen voor meer informatie over de wizard Actie ondernemen.

  • De acties Verplaatsen naar Postvak IN of >Verplaatsen naar ongewenste e-mail in de flyout details van de clustereigenschap op het tabblad Geschiedenis van het Actiecentrum, zoals weergegeven in de volgende schermopname:

    Schermopname van de flyout met details van een automatisch hersteld e-mailcluster met de beschikbare actie Verplaatsen naar Postvak IN om de automatische herstelactie ongedaan te maken en berichten te herstellen naar postvakken.

Zie ook